Niktoでwebサイトチェック

Kalilinux

niktoはオープンソースのウェブサイト脆弱性をチェックするツールです。

(注意:他人の管理下にあるサーバーを検査するのは迷惑行為となるので止めましょう)

niktoの起動

kali ー 02 VulnerabilityAnalysis ー nikto から起動します。

nikto

niktoのヘルプ画面が表示されます。

nikto help
nikto help
nikto help

niktoの実行

まずはnmapでウチのLAN内の適当なターゲットを探しました。

nmap

” 192,168,11,42 ” がア⚪︎ゾンのア⚪︎クサ先生です。

alexa

これ厳密にはwebサービスを行ってはいませんが(なので最初から意味のないスキャンになりますが)、今回はこれをターゲットにしちゃいましょう。

nikto -h ホスト名又はIPアドレス

nikto

バージョンは、2.5.0です。何も実行されていません。デフォルトでは(webサービスのデフォルトである)80番ポートを調べます。

しかし今回、ア⚪︎クサ先生にはそもそも80番ポートが開いていなかったので、このような結果になりました。

上記のnmapの結果で、開いていることが判明している8009番ポートを指定してみます。

nikto -h ホスト名又はIPアドレス -p ポート番号

スキャン結果です。

nikto

もし脆弱性があれば、 ” OSVDB + 番号 ” (Open Source Vulnerability DataBaseの略)と出力され、OSVBD番号で脆弱性を表示してくれます。

今回はそもそもア⚪︎クサ先生はwebサービスを行っていませんので、そのような脆弱性は最初からありませんが。

OSVDB番号とCVE番号の対比表はこちら

追記(2024年7月21日)

kali on ラズパイ4Bにapache2 WEBサーバーを立てたので、これを早速niktoで監査してみました。

以下がその結果です。

Deban系OS上のapache 2.4.61が稼働中。

特に問題はなさそうでした。

コメント

タイトルとURLをコピーしました